運用區(qū)塊鏈技術(shù)構(gòu)建基層央行智慧內(nèi)部審計平臺的探索

智慧內(nèi)審平臺以區(qū)塊鏈技術(shù)作為業(yè)務(wù)信息共享、確權(quán)和安全的技術(shù)保障，按照以各專業(yè)系統(tǒng)接口整合在一起的基礎(chǔ)數(shù)據(jù)來源池為基礎(chǔ)，以各部門將其專業(yè)系統(tǒng)中每日發(fā)生的數(shù)據(jù)手動或自動上傳至業(yè)務(wù)信息區(qū)塊鏈層為支撐，以計算機協(xié)助內(nèi)審工作系統(tǒng)有針對地采集區(qū)塊鏈層數(shù)據(jù)并進(jìn)行分析為目的，三大模塊環(huán)環(huán)相扣、相輔相成的思路進(jìn)行構(gòu)建。

基礎(chǔ)數(shù)據(jù)來源池

基礎(chǔ)數(shù)據(jù)來源池中接入了基層央行系統(tǒng)內(nèi)部大部分重要業(yè)務(wù)部門和綜合部門的專業(yè)系統(tǒng)，每個部門都是審計相關(guān)業(yè)務(wù)數(shù)據(jù)的上傳者。隨著內(nèi)審項目覆蓋范圍的逐漸擴大及該數(shù)據(jù)的日趨完善，其接口的專業(yè)系統(tǒng)數(shù)量也逐漸增多， 逐步形成審計基礎(chǔ)數(shù)據(jù)來源池。為保證審計業(yè)務(wù)信息的安全，基礎(chǔ)數(shù)據(jù)來源池中的每個部門都有一個可以向其他部門公開的公開密鑰和一個只有部門內(nèi)部掌握的私有密鑰，通過運用公開密鑰和私有密鑰對業(yè)務(wù)信息進(jìn)行非對稱加密從而達(dá)到對信息進(jìn)行保密的目的。內(nèi)審部門掌握各部門的私有密鑰，通過計算機協(xié)助內(nèi)審工作系統(tǒng)對業(yè)務(wù)信息區(qū)塊鏈層中的業(yè)務(wù)數(shù)據(jù)進(jìn)行采集。

業(yè)務(wù)信息區(qū)塊鏈層

業(yè)務(wù)信息區(qū)塊鏈層是內(nèi)審部門獲取審計數(shù)據(jù)的主要來源，區(qū)塊鏈作為該模塊的底層技術(shù)，可以在保證基礎(chǔ)數(shù)據(jù)來源池中每個部門上傳的業(yè)務(wù)信息安全的同時，防止業(yè)務(wù)部門對業(yè)務(wù)信息進(jìn)行篡改，從而保障了內(nèi)審資料的真實性。在業(yè)務(wù)信息區(qū)塊鏈層中，基礎(chǔ)數(shù)據(jù)來源池中的部門之間發(fā)生一筆業(yè)務(wù)往來的流程大致為：首先， 業(yè)務(wù)上游部門運用業(yè)務(wù)下游部門的公開密鑰對業(yè)務(wù)信息進(jìn)行非對稱加密，并上傳至其所對應(yīng)的區(qū)塊鏈節(jié)點上；其次，利用區(qū)塊鏈的同步機制，基礎(chǔ)數(shù)據(jù)來源池中的每個部門對應(yīng)的區(qū)塊鏈節(jié)點上都會復(fù)制一個該業(yè)務(wù)全部信息進(jìn)行非對稱加密算法后的完整副本，這樣可以防止該業(yè)務(wù)涉及的部門對業(yè)務(wù)信息進(jìn)行篡改，保障了審計資料的真實性；再次，該業(yè)務(wù)下游部門則可以運用部門私有密鑰對該業(yè)務(wù)信息進(jìn)行解密并辦理業(yè)務(wù)；倒計時，若該業(yè)務(wù)還未完結(jié)， 需轉(zhuǎn)至下一部門，則可重復(fù)之前步驟，進(jìn)行業(yè)務(wù)信息傳遞。這樣，業(yè)務(wù)信息區(qū)塊鏈層囊括了以不同業(yè)務(wù)為主線的一條條區(qū)塊鏈，每條區(qū)塊鏈上的每個區(qū)塊節(jié)點上傳的業(yè)務(wù)信息都有一個明確的時間戳，這些時間戳既可以真實反映業(yè)務(wù)信息上傳的具體時間，又可以防止業(yè)務(wù)信息被篡改，進(jìn)一步保證審計資料的安全性，為內(nèi)審部門更好開展審計工作奠定資料基礎(chǔ)。

計算機協(xié)助內(nèi)審工作系統(tǒng)

該系統(tǒng)是以風(fēng)險導(dǎo)向和問題導(dǎo)向為出發(fā)點建立的內(nèi)審工作系統(tǒng)，原理是根據(jù)往年審計發(fā)現(xiàn)問題庫中較為重要和高風(fēng)險的問題，建立相應(yīng)的審計模型定期自動執(zhí)行，并對業(yè)務(wù)異常情況及時發(fā)出警報。

一是在審計項目開展期間外，該系統(tǒng)可對業(yè)務(wù)信息區(qū)塊鏈層復(fù)制的非對稱加密后的業(yè)務(wù)信息副本進(jìn)行定期自動獲取，并上傳至日常采集的數(shù)據(jù)庫，若業(yè)務(wù)部門對某項業(yè)務(wù)信息進(jìn)行了篡改，其形成的非對稱加密數(shù)據(jù)則會變更， 變得與內(nèi)審部門復(fù)制的業(yè)務(wù)信息副本不同，此時系統(tǒng)會自動識別出這種不同并發(fā)出警報，而內(nèi)審部門即可介入檢查，完成對業(yè)務(wù)風(fēng)險點的事中控制。

二是在審計項目開展時，內(nèi)審部門通過掌握被審計單位（部門）的私有密鑰，對業(yè)務(wù)信息區(qū)塊鏈層中被審計單位（部門）對應(yīng)的區(qū)塊節(jié)點上傳的業(yè)務(wù)數(shù)據(jù)進(jìn)行采集，并上傳至專項采集數(shù)據(jù)庫中。由于業(yè)務(wù)信息區(qū)塊鏈層可以保證每條業(yè)務(wù)信息的真實性， 因此內(nèi)審人員不必再次對采集信息的真實性進(jìn)行核對，因而大幅度降低核對信息數(shù)據(jù)的任務(wù)量。同時，直接由業(yè)務(wù)信息區(qū)塊鏈層采集信息，也可以保證采集信息的全面性，縮減了數(shù)據(jù)采集的時間成本，減少了由于內(nèi)審人員與被審計單位（部門） 之間的信息不對稱而降低數(shù)據(jù)信息調(diào)閱不全面的可能性。內(nèi)審人員在采集好審計所需業(yè)務(wù)信息數(shù)據(jù)后，通過設(shè)定好的審計模型和人工分析等方式開展審計，同時也可以通過采集的數(shù)據(jù)對業(yè)務(wù)信息所反映的業(yè)務(wù)流程進(jìn)行評估，并提出業(yè)務(wù)如何提質(zhì)增效方面的建議。

三是在審計結(jié)束后，內(nèi)審部門可通過采集業(yè)務(wù)數(shù)據(jù)至整改業(yè)務(wù)采集數(shù)據(jù)庫中， 對需整改部門上傳的業(yè)務(wù)信息數(shù)據(jù)進(jìn)行實時監(jiān)控、追蹤核查，通過對比實施整改評估，督促被審計單位（部門）及時有效整改。